kein Zugriff mehr auf FritzBox über OPNsense (anderes Subnetz)

[chris_123]

Hallo zusammen,
leider komme ich mit meiner Problemlösung nicht weiter und hoffe, dass ihr mir helfen könnt.

Ich betreibe die OPNsense hinter einer FritzBox 6591 Cable (Bridge-Anschluss).  Um weiterhin auf die FritzBox zugreifen zu können (u.a. für iobroker) habe ich diese über ein zusätzliches Interface angebunden und statisches Routen zwischen den Netzten eingerichtet.
Diese Konfiguration hat zuverlässig und eine halbe Ewigkeit bis zu einem späten Update von Ver. 22.1 funktioniert. Seitdem habe ich das Problem, dass ich nach ca. 10-12 Stunden nach Neustart der OPNsense oder der FritzBox nicht mehr aus dem LAN auf LAN_FritzBox komme.
Nach langem Probieren habe ich dann aufgeben müssen. Komischerweise hatte es dann mit dem 1.ten Update auf Ver. 22.7 wieder reibungslos funktioniert. Mit dem letzten Update stehe ich jedoch wieder vor diesem Problem!
Vielen Dank für eure Unterstützung im Voraus.

[Tuxtom007]

Hallo,

mache mal eine Skizze, wie die das verkabelt hast und wie bei dir die Schnittstellen dann entsprechend konfiguriert sind ( VLAN, IP-Netzs usw. ).

Ich habe bei mir die selbe Konfiguration und keine Probleme auch nicht nach dem Update.

[Mks]

Hallo.

Das hast du schon angesehen?

https://forum.opnsense.org/index.php?topic=29516.0

Lg

[Patrick M. Hausen]

@Mks Er hat nichts von VLANs in seinem Setup geschrieben. Wie soll der Verweis hilfreich sein?

[chris_123]

Hallo,
ich bin mir nicht sicher, wie ich es besser beschreiben kann. Taste mich erst seit knapp 2 Jahren an das OPNsense-Thema in meiner Freizeit heran.

Interface [LAN] = 192.168.1.1/16 -> internes Netzwerk
Interface [VODAFONE] = Bridge-Anschluss LAN 4 der FritzBox
Interface [LAN_FRITZBox] = LAN 1 der FritzBox (per DHCP 192.168.178.3)
Die FritzBox hat 192.168.178.1/24

In den Netzwerkeinstellungen der FritzBox habe ich eine statische IPv4-Route 192.168.1.1 -> 192.168.178.3
Unter Routes der OPNsense habe ich 192.168.178.0/24 auf Gateway LAN_FRITZBOX_DHCP – 192.168.178.1 eingetragen.
Bei meinem iobroker, Server und Hauptrechner habe ich folgende statische Route hinterlegt: 192.168.178.0/24 -> 192.168.1.1
Das ist bestimmt nicht die beste Lösung… hat jedoch immer funktioniert. (-;
Es funktioniert auch eben (da Neustart der OPNsense), aber nur max. 10-12 Stunden (mittlerweile über Uptime Kuma ganz gut protokolliert).

[Patrick M. Hausen]

Interface [LAN] = 192.168.1.1/16 -> internes Netzwerk
Interface [VODAFONE] = Bridge-Anschluss LAN 4 der FritzBox
Interface [LAN_FRITZBox] = LAN 1 der FritzBox (per DHCP 192.168.178.3)
Die FritzBox hat 192.168.178.1/24

Alles klar

In den Netzwerkeinstellungen der FritzBox habe ich eine statische IPv4-Route 192.168.1.1 -> 192.168.178.3

Das ist fast richtig, wenn du ohne doppeltes NAT auskommen willst. Du solltest eine Route 192.168.1.0/24 --> 192.168.178.3 anlegen stattdessen.

Unter Routes der OPNsense habe ich 192.168.178.0/24 auf Gateway LAN_FRITZBOX_DHCP – 192.168.178.1 eingetragen.

Das ist "Quatsch". Für direkt verbundene Netze benötigst du keine statischen Routen.

Bei meinem iobroker, Server und Hauptrechner habe ich folgende statische Route hinterlegt: 192.168.178.0/24 -> 192.168.1.1

Die sollten doch - wenn sie im 192.168.1.0/24 LAN stecken, eine Default-Route richtung OPNsense haben? Wenn ja, ist diese auch überflüssig.

Räum mal auf, vielleicht verschwinden die Probleme dann auch.

Gruß
Patrick

[Mks]

@Mks Er hat nichts von VLANs in seinem Setup geschrieben. Wie soll der Verweis hilfreich sein?

Jop stimmt, hab es verwechselt in der Eile am Smartphone.

lg

[chris_123]

@Patrick
Vielen Dank. Werde es heute Abend anpassen und beobachten.
Müsste es bei den FritzBox Einstellungen nicht 192.168.1.0/16 --> 192.168.178.3 sein?
Dort gibt man doch Netzwerk und Subnetzmaske an (demnach 192.168.1.0 u. 255.255.0.0, oder?)

[Patrick M. Hausen]

Ah ja ... hatte ich übersehen. Der Default bei OPNsense ist /24.

Also /16 in Deinem Fall.

Und NAT ausschalten, falls nicht schon geschehen.

[chris_123]

NAT ausschalten? Wo? An der FritzBox?
Warum eigentlich? Beide Geräte (OPNsense & FritzBox) haben eine separate IP von Vodafone.
Die Geräte im LAN hinter der OPNsense nutzen direkt das Vodafone Interface. Laut z. B. dem Netzwerktest der XBOX habe ich kein doppeltes NAT. Konfiguriert über SYSTEM: GATEWAYS: SINGLE.

[Patrick M. Hausen]

Ich meine NAT auf der OPNsense. Du hast die beiden doch hintereienander? Die Sense und die Fritte?

[chris_123]

Naja, durch den Bridge Modus an Port 4 ist das doch für die OPNsense ein nacktes Modem, oder?
Netzwerkseitig ist ebenfalls alles getrennt. Separate Kabel + VLAN auf dem Switch bei der FritzBox und auf dem Switch im Netzwerkschrank bei der OPNsense. Im Grunde reden wir da doch über 2 getrennte Internetzugänge.

[Patrick M. Hausen]

Nein, dann hätte ja deine OPNsense eine offizielle externe IP und. icht 192.168.178.3?

Oder was verstehe ich jetzt falsch? Die Fritzbox macht Internet oder nicht?

[chris_123]

Hat sie. Die 192.168.178.3 hat doch Interface [LAN_FRITZBox].
Interface [VODAFONE]  hat eine  offizielle externe IP.

[Patrick M. Hausen]

Ah - du willst also nur den Zugriff auf das Admin-Interface der Fritzbox? OK - sorry. Und noch was habe ich übersehen wg. /24 vs. /16.
 
Ein Teil von dem, was ich schrieb, stimmt. Die OPNsense braucht keinerlei statische Routen. Sie hat ja ein Bein in jedem Netz und die Default-Route zu Vodafone.

Ein Problem ist dann aber 192.168.1.0/16 - das ist dank der Netzmaske ja in Wahrheit ein 192.168.0.0/16. Und das überschneidet sich mit dem Netz zw. OPNsense und Fritzbox. Es darf bei Netzen keine Überschneidungen geben. Entweder hinter der OPNsense auch /24 oder zw. OPNsense und Fritzbox nach z.B. 172.x.y.z umnumerieren.

Die Geräte hinter der OPNsense haben alle den Default-GW zur OPNsense? Wenn ja, brauchen die auf jeden Fall auch keine statischen Routen.

Wenn es dann nur um den Admin-Zugriff zur Fritzbox geht, hast du zwei Möglichkeiten:

1. auf der Fritzbox statische Route wie besprochen, aber du musst die Überlappung entfernen.
2. oder stattdessen auf der OPNsense auch auf diesem Interface NAT auf die (z.B.) 192.168.178.3 - dann sieht die Fritzbox von deinem internen Netz nix.

Ich ziehe letzteres vor für die DSL-Modems, die wir so haben.

Gruß, nochmal sorry wegen der Verwirrung,
Patrick